PT-2020-4833 · Crossbeam+3 · Crossbeam-Channel+3

Taiki-E

·

Publicado

2020-06-26

·

Atualizado

2024-12-12

·

CVE-2020-15254

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
**Nome do software vulnerável e versões afetadas:
versões do crossbeam-channel anteriores à 0.4.4
Descrição:
O problema está relacionado ao canal bounded na biblioteca crossbeam-channel, que assume incorretamente que Vec::from iter aloca capacidade igual ao número de elementos do iterador. No entanto, Vec::from iter pode alocar memória extra, levando a uma desalocação incorreta com capacidade incorreta ao reconstruir Vec a partir de um ponteiro bruto. Isso pode causar problemas com o gerenciamento de memória.
Recomendações:
Para versões anteriores à 0.4.4, atualize para o crossbeam-channel 0.4.4 para corrigir o problema. Como solução temporária, considere evitar o uso do canal bounded até que a atualização seja possível.

Exploit

Correção

Buffer Overflow

Memory Leak

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-131CWE-119CWE-401

Identificadores relacionados

ALT-PU-2020-3120
ALT-PU-2021-3368
BDU:2020-05387
CVE-2020-15254
GHSA-M8H8-V6JH-C762
GHSA-V5M7-53CV-F3HX
OPENSUSE-SU-2024:10600-1
OPENSUSE-SU-2024:14572-1
RUSTSEC-2020-0052
USN-4599-1
USN-4599-2
USN-4599-3

Produtos afetados

Alt Linux
Linuxmint
Ubuntu
Crossbeam-Channel